**CPUID**, das Unternehmen hinter beliebten Hardware-Monitoring-Tools wie CPU-Z, HWMonitor, HWMonitor Pro und PerfMonitor, bestätigte, dass seine Webseite (cpuid[.]com) weniger als 24 Stunden kompromittiert war. Während dieser Zeit ersetzten Bedrohungsakteure legitime Software-Installer durch bösartige ausführbare Dateien, die darauf ausgelegt waren, den STX RAT zu deployen. ### Zeitachse des Angriffs Der Vorfall ereignete sich zwischen dem 9. April, ca. 15:00 UTC, und dem 10. April, 10:00 UTC. Download-URLs für CPU-Z- und HWMonitor-Installer waren speziell betroffen und leiteten Benutzer zu bösartigen Webseiten um. ### Reaktion von CPUID In einer auf X geteilten Erklärung räumte **CPUID** die Sicherheitslücke ein und führte sie auf eine Kompromittierung eines "sekundären Features (im Grunde eine Side-API)" zurück, die dazu führte, dass die Hauptseite zufällig bösartige Links anzeigte. Das Unternehmen betonte, dass die signierten Originaldateien ihrer Software unberührt blieben. ### Identifizierte bösartige Webseiten Laut **Kaspersky** wurden die folgenden Webseiten zur Verbreitung der trojanisierten Software verwendet: * cahayailmukreatif.web[.]id * pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev * transitopalermo[.]com * vatrobran[.]hr Die bösartige Software wurde sowohl als ZIP-Archive als auch als eigenständige Installer verteilt. Diese Dateien enthielten eine legitime, signierte ausführbare Datei neben einer bösartigen DLL-Datei namens 'CRYPTBASE.dll'. Diese DLL nutzt die DLL-Side-Loading-Technik, um bösartigen Code auszuführen. ### Bereitstellung des STX RAT Die bösartige DLL initiiert die Kommunikation mit einem externen Server und lädt zusätzliche Payloads herunter, nachdem sie Anti-Sandbox-Prüfungen durchgeführt hat, um eine Erkennung zu vermeiden. Das ultimative Ziel ist die Bereitstellung des STX RAT, der für seine HVNC (Hidden VNC)-Fähigkeiten und umfangreichen Funktionen zur Informationsbeschaffung bekannt ist. Laut der Analyse von **eSentire** bietet der STX RAT einen breiten Satz an Befehlen für die Fernsteuerung, Post-Exploitation-Aktivitäten und die Ausführung nachfolgender Payloads, einschließlich der In-Memory-Ausführung von EXE/DLL/PowerShell/shellcode, Reverse Proxy/Tunneling und Desktop-Interaktion. ### Verbindung zu früheren Kampagnen Die in diesem Angriff verwendete Command-and-Control (C2)-Serveradresse und Konfiguration wurde zuvor in einer Kampagne beobachtet, die trojanisierte **FileZilla**-Installer auf gefälschten Webseiten betraf. Diese frühere Aktivität, dokumentiert von **Malwarebytes**, beinhaltete ebenfalls die Bereitstellung des STX RAT. ### Auswirkungen und Opfer **Kaspersky** hat über 150 Opfer identifiziert, hauptsächlich Einzelpersonen. Auch Organisationen in Sektoren wie Einzelhandel, Fertigung, Beratung, Telekommunikation und Landwirtschaft waren betroffen. Die Mehrheit der Infektionen befindet sich in Brasilien, Russland und China. ### Zuordnung und Sicherheitslage **Kaspersky** hob hervor, dass die Wiederverwendung derselben Infektionskette und C2-Domainnamen aus der früheren **FileZilla**-Kampagne durch die Angreifer eine schnellere Erkennung des Watering-Hole-Angriffs ermöglichte. Sie bewerteten die allgemeinen Fähigkeiten des Bedrohungsakteurs in Bezug auf Malware-Entwicklung, -Bereitstellung und operative Sicherheit als "ziemlich niedrig".